WordPressでサイト運営をする上で、必ずやっておきたいのがセキュリティ対策。WordPressは世界中に多くのユーザーがいるため、WordPressサイトを狙ったスパム攻撃は増えるのは必然です。
僕も本サイト運営を開始して数週間が経過したころ、ふとダッシュボードを見ると、海外から1000件を超えるスパムコメントが送られてびっくりしました。
数分おきに送信されている謎の英語メッセージ……正直ビビります(笑)。
流石にちゃんとセキュリティ対策をしないとアカウントが乗っ取られたりしてやばいなと感じて、セキュリティ対策のプラグイン導入を検討しました。本当ならWordPressを導入したら、すぐ設定しておくべきところです。
今回僕が導入したのは「SiteGuard WP Plugin」。
こちらのプラグインを導入することで、WordPressの管理画面に対する不正ログインや不正なコメントをしてこようとするスパム攻撃からサイトを守ることができます。日本語な上に簡単に設定することが可能なので、かなりおすすめなプラグインです。
そこで今回は、SiteGuard WP Pluginの導入方法から、設定項目までまとめてみました。WordPressのセキュリティ対策で悩んでいる方は、ぜひ参考にしてみてくださいね。
※本記事の公開日:2017/10/14
Contents
SiteGuard WP Pluginでできること
Photo by : SiteGuard WP Plugin
SiteGuard WP Pluginは、外部からの不正なスパム攻撃を防いでくれるWordPressプラグインです。
特にブルートフォースアタックやパスワードリスト攻撃などの対策に有効です。
ブルートフォースアタックとはWordPressのログインファイルにアクセスし、ユーザーIDとパスワードをランダムに大量に入力することで不正ログインを狙うスパム攻撃のこと。
またパスワードリスト攻撃は、IT用語辞書e-Wordsによると「別のサービスやシステムから流出したアカウント情報を用いてログインを試みる手法」のこと。
参考:e-Words パスワードリスト攻撃 【 リスト型アカウントハッキング 】 アカウントリスト攻撃
SiteGuard WP Pluginを導入するここで、このような悪質なスパム攻撃からWordPressサイトを守ってくれます。
ログイン時に画像認証機能を追加できたり、ログインに失敗した接続元を一定期間ブロックしてくれたりします。具体的な機能に関しては、後ほど紹介いたします。
またSiteGuard WP Pluginは日本製のプラグインなため、日本語で設定することが可能です。
設定方法も簡単ですので、WordPress初心者の方でも利用しやすいですよ。
公式サイト:SiteGuard WP Plugin
SiteGuard WP Pluginの導入ステップ
それでは具体的にSiteGuard WP Pluginの導入手順を確認していきましょう!
(1) まずはSiteGuardをインストール
まずはプラグインの欄から「SiteGuard WP Plugin」と検索し、見つけたらインストールします。
インストールが完了したら、「有効化」をクリックしましょう。
(2) ログイン画面のURLが自動で変更
SiteGuardを有効化すると、まずログイン画面のURLが自動で変更されます。
同時に、管理者登録しているメールアドレスにも変更された旨の通知メールが届きます。新しいログインURLをブックマークしておきましょう!
(3) 日本語認証をして再度ログイン
新しいURLでログインすると、日本語認証が追加されております!これまで使っていたユーザー名とパスを入力し、表示されている日本語を入力すると、これまで通りにログインすることができます。
日本語が読めなかったり日本語入力ができない外国人にとって、この日本語認証だとログインを不正に突破するハードルが上がります。
SiteGuard WP Pluginの設定方法
ダッシュボードにログインできたら、今度は設定をしていきましょう!メニューに「SiteGuard」の項目が追加されていますので、確認してみましょう!。
ダッシュボードでは、設定状況をまとめて管理することができます。
それでは細かい設定を1つ1つ確認していきましょう!
管理ページアクセス制限
ログインしていない接続元から、管理ディレクトリ(/wp-admin/)を守ることができる機能です。ログインが行われていない接続元IPアドレスに対して、管理ページのアクセスを404(Not Found)で返します。
対象外とするパスも設定することができます。不正アクセスを防ぐためにも、ぜひ設定しておきましょう。「ON」を選択し、「変更を保存」で設定完了です。
ログインページ変更
こちらは、ログインページのURL(wp-login.php)を変更することができる機能です。
通常のWordPressのログインURLは、お馴染みの「◯◯/wp-login.php」となっていますよね。
ですので、ログイン画面のURLを第三者に特定されやすいです。ですので、ブルートフォース攻撃やリスト攻撃など、不正にログインをしようとするスパム攻撃を、ログインページのURLを変更することで、ある程度は予防することができます。
初期値は、「login_<5桁の乱数>」ですが、自由に名前に変更することができます。ひとまずSiteGuard WP Pluginの導入時に、すでにサイトのURLは変更されてます。もし再度変更した際は、URLを忘れずにブックマークしておきましょう。
画像認証
ログインページ、コメント投稿時に、画像認証機能を追加することができます。
ブルートフォース攻撃やリスト攻撃など、不正にログインを試みる攻撃や、コメントスパムを受けにくくするための機能です。
- ログインページ
- コメント投稿ページ
- パスワード確認ページ
- ユーザー登録ページ
でそれぞれ設定することができます。画像認証の文字は、ひらがなと英数字が選択できます。
ひらがな認証での設定の方が、日本語が読めなかったり、ひらがな入力ができない外国人が多いので、海外からの不正アクセスを防止しやすいです。
こちらもSiteGuard WP Plugin導入の段階で、デフォルトで設定されています。
ログイン詳細エラーメッセージの無効化
ログインエラー時に、詳細なエラーメッセージを表示するのではなく、単一のメッセージを返すことができる機能です。ログインに関するエラーメッセージが、すべて同じ内容になります。
ユーザー名、パスワード、画像認証のどれを間違えても同じエラーメッセージを表示するため、何を間違えたのか判断できず、第三者がユーザー名を調べることが難しくなります。
ログインロック
ログインの失敗を繰り返す接続元を、一定期間ロックする機能です。
ブルートフォース攻撃、リスト攻撃等の、不正にログインを試みる攻撃を予防することができます。特に機械的な攻撃から防御するための機能です。
- 期間
- 回数
- ロック時間
をそれぞれ設定するこができます。指定期間に、指定回数、ログインに失敗した接続元を、指定した時間ブロックします。こちらはぜひとも設定しておきましょう!
ログインアラート
誰かしらサイトへログインがあったことを、メールで通知することができる機能です。不正なログインがあった場合に、気づきやすくなります。
心当たりがないログイン通知が会った場合は、直ぐに調べましょう。こちらも機能もぜひ設定しておくべきです。
フェールワンス
正しい入力を行っても、ログインを一回だけ失敗させることができる機能です。
2回目に正しいログイン情報を入力することで、ログインすることができます。リスト攻撃を受けにくくすることができます。
1回目のログイン情報を入力して失敗し5秒以降、60秒以内に再度正しいログイン情報を入力すると、正常にログインできます。
自分がログインする際にやや手間が増えますが、セキュリティ対策のためには設定しておきましょう。
XMLRPC防御
ピンバックによる不正なスパム攻撃を防ぐことができる機能です。ピンバックとはWordPressサイトにリンクが張られたことを通知する機能です。
ピンバック機能を無効化する、あるいは、XMLRPC全体( xmlrpc.php )を無効化することで、それが悪用されることを防止します。
ただしXMLRPC全体を無効化すると、XMLRPCを使用したプラグインやアプリの使用ができなくなる可能性があります。ですのでこちらは必要に応じて設定すればOKです。
更新通知
WordPress本体、プラグイン、テーマの更新が必要になった場合に、管理者にメールで通知します。
アクティブなテーマやプラグインだけ通知する設定ができるので、小まめに更新情報をチェックする癖をつけておくと良いでしょう!
なかなかアップデートに気づかなかったり一手間かかりますが、最新のバージョンを利用することはセキュリティ対策で重要です。
WAFチューニングサポート
WAF(SiteGuard Lite)の除外ルールを設定する機能です。
この機能を利用するには、Webサーバー上にWAF(SiteGuard Lite)がインストールされている必要があります。
通常のサーバーは対応していないことが多いので、特に必要がなければ利用する必要はないです。
詳細設定
IPアドレスの取得方法を設定します。通常はリモートアドレスを選択しておけば大丈夫です。必要なければ特に設定を変更する必要はありません。
ログイン履歴
こちらではサイトへのログインの履歴が参照できます。ブロックしたアクセスも確認することができます。
また履歴は、成功、失敗、ロックなどでソートすることができます。怪しいアクセスがないか、小まめにチェックしておくと良いでしょう!
【まとめ】SiteGuard WP Pluginは必須プラグイン!
SiteGuard WP Pluginを導入した後、数分おきに繰り返されていたスパムコメント攻撃を受けることが完全になくなりました。
これまで大量に送られてきたスパムコメントをちまちまと削除対応をしております……(泣)。
ひとまずこれで安心ですが、セキュリティ対策は日々最新のものにアップデートしていきたいところです。スパムコメントで困っている方の参考になれば幸いです。最後までありがとうございました!
セキュリティはもちろんですが、データのバックアップも重要です!
下記記事では、WordPressのおすすめプラグインを厳選して紹介しています ↓↓
